Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la critica

GDPR, perché abrogare il Codice Privacy è la scelta peggiore e che cosa comporta

Abrogare il Codice per la protezione dei dati personali è una scelta improvvida e non in linea con quanto richiesto dalla Commissione europea, oltre che dalla legge delega italiana. E’ la tesi di una corrente di pensiero: eccone le ragioni

23 Apr 2018

Andrea Lisi

avvocato e presidente di ANORC Professioni

Sarah Ungaro

avvocato, Ufficio Presidenza ANORC Professioni, Digital & Law Department


 Manca ormai un mese alla fatidica data del 25 maggio 2018. Ma, a fronte dell’atteso adeguamento della normativa nazionale al Regolamento dell’Unione europea 2016/679 (GDPR – General Data Protection Regulation), ecco che la soluzione individuata nel più totale caos informativo e contenuta in uno schema di decreto legislativo Gdpr (approvato dal Consiglio dei ministri del 21 marzo), prevede – inaspettatamente – l’abrogazione del Codice in materia di protezione dei dati personali.

Proprio sicuri che sia la scelta giusta?

L’adeguamento al GDPR

Come riconosciuto in seno alla stessa Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016[1], considerati gli effetti propri dello strumento normativo prescelto dall’Unione (ossia un Regolamento) per l’emanazione delle norme del GDPR, sotto il profilo strettamente tecnico-giuridico non sarebbe stato necessario un intervento del legislatore.

Tuttavia, come sottolineato dalla stessa presidenza della Commissione, un intervento di adeguamento del nostro Codice in materia di protezione dei dati personali risultava, in ogni caso, necessario al fine di coordinare la legislazione nazionale vigente con il Regolamento e ad anticipare quella verifica di compatibilità altrimenti rimessa agli interpreti, al Garante per la protezione dei dati personali e ai Tribunali.

Se, dunque, la Commissione si sarebbe dovuta occupare di un intervento di “adeguamento”, l’espressa e totale abrogazione del D.Lgs. 196/2003 (che – a quanto è dato sapere – sarebbe prevista all’art. 101 dello schema di decreto legislativo formulato) appare – innanzitutto – manifestamente in contrasto rispetto a quanto autorevolmente dichiarato dalla stessa presidenza della Commissione in relazione all’obiettivo dell’intervento di modifica.

Gdpr, perché abrogare il Codice Privacy è la scelta migliore e che cosa comporta

La ratio dell’abrogazione, dunque, risulta difficile da ravvisarsi, se non nell’esigenza di predisporre in tempi stretti (come peraltro ricordato dalla presidente Finocchiaro) uno schema di decreto che rinnovasse – eliminando le disposizioni in contrasto con quanto previsto dal GDPR – la normativa nazionale in materia di protezione dei dati personali.

La tecnica normativa

In merito alla tecnica normativa utilizzata dalla Commissione, sono purtroppo profonde le perplessità sollevate dalle laboriose e non sempre limpide giustificazioni riportate nella relazione illustrativa allo schema di decreto circa la decisione di prevedere la totale abrogazione del Codice, tanto da non poter non ricordare la locuzione latina excusatio non petita, accusatio manifesta

In effetti, appare francamente arduo non ritenere quanto meno risibile la motivazione addotta nella menzionata relazione illustrativa, sulla scorta della quale si apprende che la scelta di abrogare il D.Lgs. n. 196/2003, sostituendolo con il provvedimento predisposto, sia fondamentalmente volta ad “evitare che tutti e quindi anche l’interprete dovessero consultare (almeno) tre testi normativi”, ossia il Regolamento 2016/679/UE, il D.Lgs. n. 196/2003 e l’emanando decreto di “adeguamento”. Ma risulta, a questo punto, perfino superfluo dover sottolineare che se uno dei tre testi normativi considerati (id est l’emanando decreto di “adeguamento”) intervenisse a novellare – anche in modo strutturale – uno degli altri due (il vigente Codice in materia di protezione dei dati personali), i giuristi e gli interpreti – come accade per tutti i testi normativi – si riferirebbero sempre a quella stessa fonte normativa oggetto di revisione, ma ovviamente nella sua versione modificata. Semplicemente, solo qualora necessario, si citerebbe o si farebbe riferimento allo specifico provvedimento recante le modifiche alle disposizioni della fonte normativa considerata. O, forse, si deve – maliziosamente – supporre che sia stata proprio l’ambizione di voler dare alla luce un “nuovo Codice privacy”, e non solo un (ennesimo, seppur importante) provvedimento di adeguamento del Codice già vigente, a determinare la scelta di prevedere l’abrogazione del D.Lgs. n. 196/2003?

D’altro canto, ragionando a contrario, in tale dichiarata ottica di semplificazione, per tutti i casi in cui si intervenga per modificare una disposizione sarebbe altrimenti giustificabile un’abrogazione totale e una nuova emanazione della fonte normativa[2].

Per altro verso, inoltre, non si possono sottacere i dubbi circa il vizio di incostituzionalità che potrebbe affliggere il provvedimento in commento, in considerazione dei profili ravvisabili in eccesso di delega rispetto alla citata legge delega del Parlamento n. 163 del 25 ottobre 2017, la quale contempla soltanto un necessario adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 e non certo tout court l’abrogazione del D.Lgs. n. 196/2003.

Nello specifico, infatti, secondo il dettato dell’art. 13, nell’esercizio della delega il Governo è tenuto a:

– abrogare espressamente (soltanto) le disposizioni del codice in materia di trattamento dei dati personali, di cui al D.Lgs. 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel Regolamento (UE) 2016/679;

– modificare il D.Lgs. n.196/2003 limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento (UE) 2016/679;

– coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento (UE) 2016/679;

– adeguare, nell’ambito delle modifiche al codice di cui al D.Lgs. n. 196/2003, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

La prevista abrogazione dell’intero D.Lgs. n. 196/2003 risulta, dunque, a nostro parere, viziata da un palese eccesso di delega.

Si ritiene, invece, che il modus operandi indicato nella legge delega n. 163/2017 sia corretto e coerente dal punto di vista del diritto dell’Unione, anche in considerazione di quanto ricordato recentemente dalla Commissione europea: “il Regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento[3].

La continuità con il Codice Privacy

Da quanto si apprende in relazione allo schema di decreto in commento, non appare del tutto pertinente nemmeno ricomprendere nell’asserita ottica di “continuità con il Codice Privacy” la “scelta di fare salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni”, come si legge nella relativa Relazione illustrativa, anche perché una “scelta” in senso diverso imposta per decreto sarebbe stata difficilmente giustificabile sul piano costituzionale, in considerazione del fatto che i provvedimenti e le autorizzazioni del Garante sono – appunto – emanati da un’Autorità amministrativa indipendente. In tal senso, all’art. 97 dello schema di decreto sarebbero state previste delle disposizioni incidenti, non certo sui provvedimenti o le autorizzazioni ex se, bensì sui relativi effetti, disponendone la cessazione a decorrere già dal novantesimo giorno successivo alla data di entrata in vigore del decreto di cui si discute il testo. Non certo una previsione, quindi, che possa dirsi immune da un precipitato di incertezza giuridica per i Titolari e i Responsabili del trattamento, qualora – come plausibilmente è ragionevole ritenere – il Garante non dovesse riuscire nel termine previsto a procedere al vaglio e all’aggiornamento di tutte le autorizzazioni generali già adottate.

Sanzioni penali

In relazione al quadro sanzionatorio, dallo schema di decreto Gpdr emerge la depenalizzazione delle fattispecie a rilevanza penale attualmente previste nel D. Lgs. n. 196/2003 (fatte salve quelle relative alla falsità nelle dichiarazioni al Garante o ad altre condotte volte a turbare intenzionalmente un procedimento o un accertamento dell’Autorità), in riferimento non solo all’attuale art. 169 del Codice, relativo alla mancata adozione delle misure di sicurezza, ma anche all’art. 167 (Trattamento illecito di dati), sulla scorta della giustificazione riportata nella Relazione illustrativa, in base alla quale “tale fattispecie, nell’esperienza giurisprudenziale formatasi, ha dimostrato una limitata operatività ed una scarsa aderenza a ipotesi di trattamento illecito realmente significative”.

Decreto Gdpr, “perché abbiamo depenalizzato il trattamento illecito di dati personali”

Tanto non appare corrispondere a quanto invece risulta anche solo dalle recenti cronache giudiziarie (senza voler qui citare le rilevanti e numerose pronunce delle Corti di merito e della Cassazione), che hanno riportato, ad esempio, delle diverse sentenze relative al caso dell’associazione Vividown, o la sentenza del Tribunale di Milano, 28 maggio 2010, n. 25194, relativa al noto caso Tiger Team di Telecom, difficilmente definibili come “procedimenti bagatellari”.

Peraltro, nella stessa Relazione illustrativa si legge che “in forza del doveroso rispetto del ne bis in idem – imposto dal Considerando n. 149 del Regolamento – una tale tutela penale, quand’anche apprezzabile in chiave simbolico-comunicativa, inibirebbe comunque il ricorso alle più significative e “deterrenti” sanzioni amministrative”. Tuttavia occorre sottolineare che è lo stesso GDPR – che al Considerando 149 fa sì riferimento al principio del ne bis in idem, come interpretato dalla Corte di giustizia – che contempla espressamente la previsione di sanzioni penali da parte degli Stati membri, addirittura specificando che “tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento” (Considerando n. 149) e che “la natura di tali sanzioni, penali o amministrative, dovrebbe essere determinata dal diritto degli Stati membri” (Considerando n. 152). Dunque, delle due l’una: o il Considerando n. 149 del Regolamento contempla disposizioni evidentemente contraddittorie, oppure la previsione di sanzioni penali (che autorizzino anche la sottrazione dei profitti eventualmente conseguiti) non è a priori in contrasto con il principio del ne bis in idem. Dunque, se ne deduce che la scelta di “depenalizzare” le fattispecie a rilevanza penale attualmente previste nel D.Lgs. n. 196/2003 e legate all’illecito trattamento dei dati sia il frutto di una valutazione di tipo politico effettuata – però – esclusivamente in seno alla Commissione, poiché il legislatore della legge delega n. 163/2017 non aveva invece contemplato la dequotazione delle sanzioni delle fattispecie penalmente rilevanti previste nel Codice, limitandosi – come innanzi richiamato – a disporre l’adeguamento del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

Attuazione del GDPR, depenalizzare sì o no? Che c’è da sapere

E-privacy

Anche nella Relazione illustrativa allo schema di decreto in commento si legge che le disposizioni materia di servizi di comunicazioni elettroniche non sarebbero state modificate in attesa dell’emanando Regolamento in materia, che dovrebbe sostituire la Direttiva 2002/58 (c.d. e-privacy). Dallo schema di decreto, tuttavia, emerge come – ad esempio – le disposizioni dettate per le “Comunicazioni indesiderate”, attualmente contenute nell’art. 130 del D.Lgs. n. 196/2003, siano state oggetto di intervento – per quanto limitato – nella proposta di modifica. Tale intervento sull’attuale formulazione, però, non sembra brillare per chiarezza, atteso che per richiamare gli artt. 6 e 7 del GDPR – in sostituzione del richiamo agli artt. 23 e 24 dell’attuale Codice – si è tralasciato uno dei maggiori aspetti innovativi del GDPR, ossia il “dettaglio” dell’interesse legittimo del titolare del trattamento o di terzi (contemplato alla lett. f), par. 1 dell’art. 6 del Regolamento) quale presupposto di liceità del trattamento. In tal senso, dunque, l’operazione di modifica e adeguamento delle disposizioni dedicate alle comunicazioni indesiderate non appare aver conseguito gli esiti auspicabili, in considerazione del fatto che, a fronte del richiamo agli artt. 6 e 7 del GDPR, si è scelto di lasciare invariate le disposizioni dell’attuale comma 4 dell’art. 130, relativo alla c.d. “eccezione del soft spam”, senza prevedere – appunto – modifiche al testo che non fossero solo tese a un mero richiamo delle norme sopravvenute, ma si occupasse anche dei profili di natura sostanziale relativi al coordinamento e all’adeguamento della disciplina.

Consultazioni pubbliche e semplificazioni

Dallo schema di decreto e dalla Relazione illustrativa si legge che il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate sia stato rafforzato in molteplici casi.

Peccato, però, che invece – a fronte di un succinto comunicato stampa del Consiglio dei Ministri pubblicato il 21 marzo, i cui effetti sono stati alquanto destabilizzanti – i testi ufficiali dello schema di decreto e della relativa documentazioni non siano stati resi disponibili, nonostante l’imminente scadenza del 25 maggio 2018.

In argomento, inoltre, non si può non sottolineare come i frettolosi lavori della Commissione siano stati condotti senza l’auspicabile coinvolgimento delle associazioni di categoria rappresentative della materia. Anche su questo è intervenuta l’azione interassociativa di ANORC Privacy e ANORC PROFESSIONI, congiuntamente con ANDIP, ASSOCIAZIONE PRIVACY ITALIA, ISTITUTO ITALIANO PRIVACY, ANGIF, ANDIG e FEDERPRIVACY, volta a sollevare dubbi in merito sia alla metodologia adottata per l’approvazione dello schema di decreto, sia alla correttezza della previsione di un’abrogazione dell’intero Codice per la protezione dei dati personali (e delle sanzioni penali ivi previste), verosimilmente incostituzionale.

Senza dubbio, in questo senso, quanto finora fatto non risulta purtroppo in linea con il dichiarato maggiore livello di coinvolgimento delle categorie interessate e delle associazioni rappresentative della materia.

Conclusioni

Per concludere, se è vero che i principi di accountability, privacy by design e privacy by default sono da considerarsi sicuramente gli elementi chiave del Regolamento UE 2016/679 – e che gli stessi non riguardano solo la parte tecnologica o strettamente organizzativa, ma anche e soprattutto l’assegnazione dei ruoli, sulla base della loro documentata competenza -, è pur vero che tali concetti non erano finora del tutto estranei alla normativa nazionale: questi erano già in qualche modo presenti nel Codice della protezione dei dati personali, ad esempio agli artt. 3 e 31, salvo poi veder prevalere nella prassi un atteggiamento formale e poco sostanziale nel dare seguito agli adempimenti. Ma se per tali risvolti applicativi risulta poco obiettivo chiamare sul banco degli imputati solo l’attuale normativa, la soluzione – semplicistica – dell’annunciata totale abrogazione del Codice in materia di protezione dei dati personali non appare una scelta metodologicamente rigorosa e ponderata.

Occorre riflettere, in effetti, sulla circostanza che sia proprio l’autorevole Codice che si vuole abrogare – a nostro avviso in modo superficiale e poco oculato – a vantare una storia che ha reso i giuristi italiani, più di venti anni fa, pionieri del diritto alla protezione dei dati personali in Europa.

[1] Commissione curiosamente incardinata presso il Ministero della Giustizia e non presso la Presidenza del Consiglio dei ministri come ci si sarebbe dovuti aspettare per un adeguamento normativo così delicato e considerata la globalità della materia da trattare e coordinare con il nostro ordinamento nazionale.
[2] Un esempio per tutti, per l’allineamento della normativa nazionale al Regolamento UE n° 910/2014 – eIDAS (per il quale, peraltro, la stessa presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016 ha contribuito proficuamente durante i lavori della relativa Commissione), non si è scelto di abrogare il Codice dell’amministrazione digitale (D.Lgs. n. 82/2005), ma solo di modificarlo (con il D.Lgs. n. 217/2017, che si è aggiunto alla lunga lista di interventi normativi che hanno prodotto l’attuale versione del CAD).
[3] Si veda la Comunicazione della Commissione al Parlamento europeo a al Consiglio – Bruxelles, 24.1.2018 COM (2018) – Maggiore protezione, nuove opportunità – Orientamenti della Commissione per l’applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018.

Articolo 1 di 4